De Zombieload kwetsbaarheid bekendgemaakt eerder dit jaar in Mei is een tweede variant die ook werkt tegen een meer recente Intel-processors, niet alleen ouderen, met inbegrip van Cascade Lake, Intel ‘s nieuwste lijn van high-end Cpu’ s — in eerste instantie dacht te zijn beïnvloed.
Intel is het vrijgeven van de microcode CPU (firmware) updates vandaag om deze nieuwe Zombieload aanval variant, als onderdeel van zijn maandelijkse Patch Tuesday, ook wel bekend als het Intel-Platform-Update (IPU) proces.
Wat is Zombieload
Terug in Mei, twee teams van wetenschappers bekendgemaakt van een nieuwe batch van de kwetsbaarheden die beïnvloed Intel Cpu ‘ s. Gezamenlijk bekend als de MDS-aanvallen, deze zijn beveiligingslekken in dezelfde klasse als Kernsmelting, Spook, en Voorbodes.
De aanvallen vertrouwen op het nemen van voordeel van de speculatieve uitvoering proces, dat is een optimalisatie techniek die Intel toegevoegd aan haar Cpu ‘ s te verbeteren verwerking van gegevens de snelheden en prestaties.
Kwetsbaarheden als Kernsmelting, Spook, en Voorbodes, toonde aan dat de speculatieve uitvoering proces was doorzeefd met gaten in de beveiliging.
Bekendgemaakt in Mei, MDS-aanvallen waren in de laatste regel van de beveiligingslekken die van invloed speculatieve executie.
Ze waren verschillend van de oorspronkelijke Kernsmelting, Spook, en Voorbodes bugs vermeld in 2018, omdat ze aangevallen door verschillende onderdelen van een CPU ‘ s speculatieve uitvoering proces.
Tijdens het Meltdown, Spook, en Voorbodes aangevallen gegevens opgeslagen in de L1-cache, MDS aanvallen ging na een CPU ‘ s microarchitectural data structuren — vandaar de naam van Microarchitectural Gegevens te verzamelen (MDS) aanvallen. Deze microarchitectural de structuur van de gegevens opgenomen in de laden, het opslaan van, en de lijn vul buffers, die door de CPU wordt gebruikt voor het snel leest/schrijft van de gegevens die worden verwerkt in de CPU.
De oorspronkelijke MDS aanvallen bekendgemaakt in Mei gerichte winkel buffers (CVE-2018-12126 aka fall-out), laden van buffers (CVE-2018-12127), lijn vul buffers (CVE-2018-12130, aka de Zombieload aanval, of RIDL), en uncacheable geheugen (CVE-2019-11091). Op het moment, Zombieload werd beschouwd als de meest gevaarlijke van alle vier de MDS-aanvallen, omdat het zou kunnen opvragen van meer informatie dan de andere.
Aan Zombieload v2
Maar buiten het medeweten van de wereld, was er een vijfde MDS aanval op de tijd, waarin onderzoekers geheim gehouden omdat Intel had nog een patch uitbrengen.
De bijnaam Zombiload v2 (CVE-2019-11135), dit is een variatie van de Zombieload v1 kwetsbaarheid, maar één die werkte op de Intel nieuwere lijn van Cpu ‘ s, die het bedrijf beweerd had bescherming tegen speculatieve uitvoering aanvallen gebakken in op hardware niveau.
Volgens een bijgewerkte versie van de Zombieload academische papier dat ZDNet kreeg deze week, de Zombieload v2-aanval maakt gebruik van de Intel-Transactional Synchronization Extensions (TSX) Asynchrone Afbreken werking die optreedt wanneer een aanvaller schadelijke code voor het maken van een conflict tussen de lees-operaties binnen een CPU.
Lees dit conflict voor de TSX Asynchrone Afbreken (TAA) activiteiten lekken van gegevens over wat wordt verwerkt in een Intel CPU.
“Het belangrijkste voordeel van deze aanpak is dat het ook werkt op machines met hardware oplossingen voor de Crisis, die we gecontroleerd op een i9-9900K en Xeon Goud 5218,” het onderzoeksteam uitgelegd in de herziene versie van de whitepaper.
De enige voorwaarde voor een Zombieload v2 aanval is dat de gerichte CPU ondersteunt de Intel TSX instructie-extensie instellen, die het onderzoeksteam zei is standaard beschikbaar in alle Intel Cpu ‘ s verkocht sinds 2013.
De eerste Intel-processor serie te hebben aanbevolen TSX ondersteuning was het Haswell platform. Alles dat kwam na wordt beïnvloed. Intel ‘ s Cascade Lake, die het bedrijf liet in April van dit jaar, moest het bedrijf het eerste product dat aanbevolen bescherming tegen side-channel en speculatieve uitvoering aanvallen op hardware niveau.
Intel reactie
In een e-mail naar ZDNet, een Intel woordvoerder wilden de klanten om te weten dat de microcode-updates worden beschikbaar gemaakt voor Zombieload v2 op de website van de vennootschap.
Bovendien, voegde het bedrijf dat de Zombieload v2 kwetsbaarheid (die Intel tracks als “TAA” aanval in haar eigen documentatie) is niet zo gevaarlijk als het klinkt.
Terwijl alle MDS-aanvallen kunnen aanvallers kwaadaardige code uitvoeren tegen een Intel CPU, de aanvallers niet kunnen bepalen welke gegevens zij kunnen doel-en uitpakken.
MDS aanvallen, terwijl heel veel mogelijk is, zijn inefficiënt in vergelijking met andere middelen van het stelen van gegevens van een doel, een advies dat een andere security experts hebben ook uitgedrukt in het verleden.
Echter, het feit dat de dag-tot-dag-malware bendes niet de moeite benutten van iets dat zo complex is als een MDS-aanval, of Zombieload v2, dat betekent niet dat de beveiligingslekken moeten worden genegeerd. Het toepassen van deze microcode-updates een prioriteit moet zijn voor iedereen die erin slaagt de kritieke infrastructuur en cloud-datacenters.
Als gebruikers niet wilt bijwerken en deal met een potentiële performance dip vanwege nog een andere patch voor speculatieve uitvoering aanvallen, Intel ook het aanbevelen van het uitzetten van de CPU ‘ s TSX ondersteuning, als het niet wordt gebruikt.
Meer slecht nieuws
Maar slecht nieuws komt nooit alleen. Hetzelfde onderzoeksteam die gevonden Zombieload v1 en v2, vond ook een probleem met de Intel ‘ s originele patches voor de vier MDS aanvallen bekendgemaakt in Mei.
De VERW-instructieset, die Intel geclaimd kan worden gebruikt voor het beveiligen van apps tegen MDS aanvallen die kunnen proberen om gegevens te extraheren, terwijl deze worden verwerkt in de CPU, onvolledig was en kon worden omzeild, het onderzoeksteam zei.
Toen we vroegen Intel over dit probleem, de CPU chipmaker erkende het probleem en stelde dat de VERW-instructieset, samen met de andere MDS aanval bescherming zijn bedoeld voor het verminderen van de kwetsbaarheid en maken misbruik lastiger voor aanvallers, en niet als een complete patch voor MDS-aanvallen.
Een versie van de herziene Zombieload whitepaper zal beschikbaar worden gemaakt op de Zombieload website later op de dag. Het onderzoeksteam zal de presentatie van de herziene bevindingen morgen op de ACM CCS-conferentie in Londen.
Veiligheid
BlueKeep benutten om een fix te krijgen voor de BSOD probleem
De grote ASP.NET hosting provider geïnfecteerd met ransomware
Apple Mail op macOS bladeren delen van versleutelde e-mails in leesbare tekst
De vaststelling van het lekken van gegevens in Jira (ZDNet YouTube)
Beste home security 2019: Professionele monitoring en DIY (CNET)
Hoe om te bepalen locatie bijhouden op je iPhone in iOS 13 (TechRepublic)
Verwante Onderwerpen:
Hardware
Beveiliging TV
Data Management
CXO
Datacenters